Beleid inzake openbaarmaking van kwetsbaarheden

Inleiding

JLL richt zich op samenwerking met klanten om een betere toekomst te creëren binnen zakelijk vastgoed. Dit omvat het beveiligen van onze zakelijke systemen en de bescherming van gegevens die onze klanten en partners hebben verstrekt. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te bieden voor het achterhalen van kwetsbaarheden en om onze voorkeuren duidelijk te maken als het gaat om het aan ons melden van ontdekte kwetsbaarheden.

Let op: JLL maakt geen gebruik van een bug bounty-programma. Door een kwetsbaarheid te melden, gaat u ermee akkoord dat u geen betaling verwacht en dat u afstand doet van enigerlei toekomstige claims jegens JLL met betrekking tot uw melding.

In dit beleid wordt uiteengezet welke systemen en soorten onderzoek onder dit beleid vallen, hoe wij kwetsbaarheidsrapporten willen ontvangen en hoe lang wij beveiligingsonderzoekers vragen te wachten met het openbaar maken van kwetsbaarheden.

Wij vragen u contact met ons op te nemen om mogelijke kwetsbaarheden in onze systemen te melden.

Autorisatie

Als u ter goeder trouw een poging doet om dit beleid na te leven tijdens uw beveiliginsonderzoek, gaan wij ervan uit dat uw onderzoek geautoriseerd is. Wij zullen met u samenwerken om dit probleem in kaart te brengen en snel te verhelpen. JLL zal geen juridische stappen ondernemen of aanbevelen op basis van uw onderzoek. Mochten er juridische stappen worden genomen door een derde jegens u vanwege uitgevoerde activiteiten die in overeenstemming zijn met dit beleid, dan zullen we deze autorisatie kenbaar maken.

Richtlijnen

In dit beleid betekent 'onderzoek' het volgende:

  • Na het ontdekken van een (mogelijk) beveiligingsprobleem brengt u ons zo snel mogelijk op de hoogte.
  • U doet er alles aan om schending van het beleid, een verminderde gebruikerservaring, onderbreking van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
  • U gebruikt exploits uitsluitend voor zover dat nodig is om een kwetsbaarheid te bevestigen. Gebruik een exploit niet om gegevens openbaar te maken of te lekken, om constante opdrachtregeltoegang op te stellen, of om in andere systemen binnen te komen.
  • U geeft ons voldoende tijd om het probleem op te lossen voor u dit openbaar maakt.
  • Gelieve geen hoog volume aan rapporten van lage kwaliteit in te dienen.

Wanneer u een kwetsbaarheid heeft vastgesteld, of wanneer u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare gegevens, financiële gegevens, bedrijfseigen gegevens of handelsgeheimen van enigerlei partij), moet u uw test beëindigen, ons direct op de hoogte brengen en deze gegevens met niemand delen.

Testmethoden

De volgende testmethoden zijn niet geautoriseerd:

  • DoS- of DDoS-tests ('denial of service') of andere tests die toegang tot een systeem of gegevens verhinderen of deze beschadigen.
  • Fysieke tests (bv. kantoortoegang, open deuren, achter iemand aan naar binnen lopen), social engineering (bv. phishing, vishing), of andere non-technische kwetsbaarheidstests.
Reikwijdte

Dit beleid geldt alleen voor volledig door JLL beheerde systemen en diensten.

Enigerlei dienst die hierboven niet staat vermeld, zoals enigerlei verbonden diensten, vallen niet onder de reikwijdte en zijn niet geautoriseerd voor tests. Ook vallen kwetsbaarheden in de systemen van onze leveranciers niet onder de reikwijdte van dit beleid; deze kwetsbaarheden moeten direct worden gemeld aan de leverancier in overeenstemming met hun openbaarmakingsbeleid (indien van toepassing). Als u niet zeker weet of een systeem onder de reikwijdte valt, kunt u contact met ons opnemen via vulndisclosure@jll.com.

Hoewel wij kunnen helpen bij de ontwikkeling en het onderhoud van andere internetsystemen of diensten, vragen we om actief onderzoek en testen alleen uit te voeren op de systemen en diensten die onder de reikwijdte van dit beleid vallen. Als er een specifiek systeem niet onder de reikwijdte valt, maar volgens u wel geschikt is om te testen, neem dan voordat u tests uitvoert contact met ons op. Wij zullen de reikwijdte van dit beleid doorlopend evalueren.

Informatie die is ingediend op grond van dit beleid wordt uitsluitend gebruikt voor beschermingsdoeleinden – om kwetsbaarheden te verminderen of verhelpen. Wanneer uw bevindingen nieuw ontdekte kwetsbaarheden omvatten die van invloed zijn op alle gebruikers van een product of dienst en niet alleen JLL, kunnen we uw rapport delen met de Cybersecurity and Infrastructure Security Agency. Zij zullen uw rapport verwerken op grond van hun gecoördineerde proces voor de openbaarmaking van kwetsbaarheden. Wij zullen uw naam of contactgegevens niet delen zonder uw nadrukkelijke toestemming.

Wij ontvangen kwetsbaarheidsrapporten via vulndisclosure@jll.com. Rapporten mogen anoniem worden ingediend. Wanneer u contactgegevens deelt, zullen wij binnen drie werkdagen ontvangst bevestigen.

Wij ondersteunen geen PGP-versleutelde e-mails.

Wat we van u verwachten

Om indieningen op een zo goed mogelijke manier te kunnen beoordelen en prioriteren, dient uw rapport het volgende te bevatten:

  • Een beschrijving van de locatie van de kwetsbaarheid en de mogelijke impact van het uitbuiten daarvan.
  • Een uitgebreide beschrijving van de benodigde stappen om de kwetsbaarheid na te bootsen (proof of concept-scripts of screenshots).
  • Het rapport dient bij voorkeur in het Engels te zijn geschreven.
Wat u van ons kunt verwachten

Wanneer u uw contactgegevens met ons deelt, doen wij er alles aan om zo open en snel mogelijk met u samen te werken.

  • Wij zullen de ontvangst van uw rapport binnen drie werkdagen bevestigen.
  • Wij zullen, naar ons beste vermogen, het bestaan van de kwetsbaarheid aan u bevestigen en wij zullen zo transparant mogelijk zijn omtrent de stappen die wij nemen tijdens het oplossingsproces, waaronder problemen of uitdagingen die oplossing verhinderen.
  • Wij behouden een open dialoog om problemen te bespreken.
Vragen

Vragen omtrent dit beleid kunnen worden gesteld via vulndisclosure@jll.com. Ook staan wij open voor suggesties voor verbeteringen van dit beleid.